ChatGPT datenschutzkonform im Unternehmen einsetzen

Der Einsatz von ChatGPT im Unternehmen

Immer mehr Unternehmen streben den Einsatz von KI-Technologien an. Vor allem ChatGPT von OpenAI steht dabei im Mittelpunkt des Interesses vieler Unternehmen, die nach Wegen suchen, ihre Effizienz zu steigern und innovative Dienstleistungen anzubieten. Von der Automatisierung des Kundenservices über die Generierung von Texten und anderen Inhalten bis hin zur Unterstützung bei der Analyse großer Datenmengen bietet ChatGPT ein breites Spektrum an Einsatzmöglichkeiten.

Während die Vorteile von KI klar auf der Hand liegen, wirft der Einsatz von ChatGPT und anderen KI-Tools wichtige Fragen im Bereich des Datenschutzes auf. Vor diesem Hintergrund stehen Aufsichtsbehörden dem raschen Einsatz von KI in Geschäftsprozessen vorsichtig gegenüber und nehmen verstärkt eine prüfende Rolle ein.

Für Unternehmen bedeutet dies, dass sie bereits bei Planung und Implementierung proaktive Schritte unternehmen müssen, um Compliance mit den geltenden Datenschutzvorschriften zu gewährleisten, wenn sie KI-Technologien wie ChatGPT in ihre Abläufe integrieren möchten.

Achtung: Dies betrifft sowohl Entwickler von KI-Anwendungen (Stichwort: Privacy by Design und Privacy by Default) als auch Anwender, die nur fertige KI-Tools in ihre Prozesse aufnehmen.

ChatGPT ist in mehreren Versionen verfügbar, wobei jede Version spezifische Datenschutzherausforderungen mit sich bringt. Deshalb erläutern wir diese getrennt.

Datenschutzrechtliche Herausforderungen von ChatGPT 3.5 und 4 (kostenlose Versionen)

Die kostenlosen Versionen 3.5 und 4 von ChatGPT sind echte Favoriten bei Unternehmen, die nach unkomplizierten KI-Lösungen für ihre geschäftlichen Prozesse suchen. Allerdings bringen gerade diese weitverbreiteten kostenlosen Versionen wesentliche datenschutzrechtliche Bedenken mit sich, die Beachtung erfordern.

Auftragsverarbeitungsvertrag

Bei der Integration von ChatGPT 3.5 oder 4 in Unternehmensprozesse wäre ChatGPT bzw. OpenAI als dessen Anbieter eigentlich als Auftragsverarbeiter im Sinne der DSGVO zu betrachten. Gemäß Art. 28 DSGVO wäre es daher erforderlich, einen Auftragsverarbeitungsvertrag (AVV) mit ChatGPT bzw. OpenAI abzuschließen, um die rechtlichen Verpflichtungen in Bezug auf den Datenschutz zu regeln.

OpenAI stellt jedoch bei den kostenlosen Versionen 3.5 und 4 von ChatGPT weder eine Geheimhaltungsvereinbarung (Non-Disclosure Agreement – NDA) noch einen Auftragsverarbeitungsvertrag bereit.

Ohne einen gültigen Auftragsverarbeitungsvertrag ist die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Abs. 1 DSGVO im Rahmen der Nutzung von ChatGPT 3.5 und 4 nicht rechtmäßig. Daher ist es für Unternehmen, die personenbezogene Daten verarbeiten möchten, nicht möglich, diese Versionen von ChatGPT für die Verarbeitung personenbezogener Daten zu verwenden.

Verarbeitung zu Trainingszwecken

Des Weiteren verarbeitet OpenAI Daten, die über die Versionen 3.5 und 4 von ChatGPT eingegeben werden, zu eigenen Zwecken, insbesondere für Trainingszwecke. Dies bedeutet, dass die eingegebenen Daten potenziell für die Verbesserung des GPT-Modells verwendet werden können. Dies geschieht durch die Analyse und Verarbeitung der eingegebenen Texte, um Muster zu erkennen und die Antworten des Modells zu optimieren.

Die Verarbeitung von Daten zu Trainingszwecken durch KI-Anbieter, insbesondere im Hinblick auf personenbezogene Daten, birgt erhebliche datenschutzrechtliche Risiken. Dabei geht es insbesondere um die Gefahren der Profilbildung und des potenziellen Verlusts der Kontrolle über die Datenverwendung. So ist bspw. das Recht auf Löschung (Recht auf Vergessenwerden) in Bezug auf einen KI-Trainingsdatensatz kaum durchsetzbar.

OpenAI holt sich hierfür auch keine Einwilligung der User ein, bietet aber zur Berücksichtigung dieser datenschutzrechtlichen Bedenken die Möglichkeit, die Verarbeitung von Daten für Trainingszwecke zu deaktivieren. Diese Option ist erreichbar unter: Settings / Data Controls / Chat & History & Training.

Diese Möglichkeit sollte man jedoch mit großer Vorsicht genießen, da dies keineswegs das Ende des Datenschutzrisikos bedeutet. Mit Hilfe dieser Einstellung wird die Verarbeitung zu Trainingszwecken nicht vollständig deaktiviert, sondern nur eingeschränkt, so dass die Interaktionen des Users mit ChatGPT nicht dauerhaft gespeichert werden. Stattdessen bleiben die Daten für einen begrenzten Zeitraum von bis zu 30 Tagen in den Systemen gespeichert, bevor sie gelöscht werden.

Diese Begrenzung reduziert zwar das Risiko, dass die Daten langfristig gespeichert und möglicherweise missbraucht werden, allerdings werden die Daten während dieses Zeitraums von 30 Tagen trotzdem zur Verbesserung der Modelle von ChatGPT verwendet.

Weiterhin ist es wichtig zu beachten, dass diese Einstellung nicht zwischen den verschiedenen Browsern oder Geräten synchronisiert wird. Dies bedeutet, dass die Einschränkung der Datenspeicherung nur für den spezifischen Browser oder das spezifische Gerät gilt, auf dem man die Einstellung vorgenommen hat.

Datenschutzrechtliche Einschätzung zu ChatGPT 3.5 und 4

Es ist von entscheidender Bedeutung, dass Unternehmen, die die Versionen 3.5 und 4 von ChatGPT einsetzen möchten, sich der datenschutzrechtlichen Herausforderungen bewusst sind und entsprechende Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten vollständig zu vermeiden. Die datenschutzkonforme Nutzung von ChatGPT 3.5 und 4 in Unternehmensumgebungen ist nämlich nur möglich, sofern keine personenbezogenen Daten im Sinne von Art. 4 Abs. 1 DSGVO verarbeitet werden und keine geschützten Geschäftsgeheimnisse preisgegeben werden.

Dies kann beispielsweise durch die Verwendung von Pseudonymen anstelle von personenbezogenen Daten erreicht werden. Zusätzlich ist es ratsam, die Datenverarbeitung für Trainingszwecke zu deaktivieren, auch wenn dies das Risiko nicht vollständig beseitigt.

Beim Hochladen von Dokumenten in Version 4 sollte zudem sichergestellt werden, dass keine personenbezogenen Daten in den Dokumenten enthalten sind, wie beispielsweise Autorennamen in Artikeln oder Empfängernamen bei Rechnungen. Falls solche Daten vorhanden sind, sollten sie vor dem Hochladen entfernt werden.

Darüber hinaus ist eine kontinuierliche Schulung der Mitarbeiter zu der datenschutzkonformen Nutzung von ChatGPT unerlässlich, um ein hohes Datenschutzniveau zu gewährleisten. Wir empfehlen zudem, eine Richtlinie zur Nutzung von KI-Tools zu erstellen, um sicherzustellen, dass alle Mitarbeitenden wissen, was sie im Umgang mit ChatGPT dürfen – und was nicht.

Datenschutzrechtliche Herausforderungen bei ChatGPT API und Enterprise Edition

OpenAI bietet neben den Modellen GPT 3.5 und GPT 4 auch eine API und Enterprise-Editionen an. Diese Editionen richten sich vor allem an Unternehmen, die maßgeschneiderte KI-Lösungen benötigen und mehr Kontrolle über ihre Anwendungen wünschen. Diese Editionen bieten im Vergleich zu den Versionen 3.5 und 4 gleichzeitig auch erweiterte Sicherheitsmaßnahmen.

Auftragsverarbeitungsvertrag

Ein datenschutzrechtlicher Vorteil dieser Versionen besteht darin, dass in diesem Fall OpenAI einen Auftragsverarbeitungsvertrag für seine Auftraggeber bereitstellt. Dadurch erkennt OpenAI seine Rolle als Auftragsverarbeiter an und verpflichtet sich, die Daten gemäß den Weisungen seiner Kunden zu verarbeiten.

Dies umfasst die Einhaltung von Pflichten, die einem Auftragsverarbeiter nach Art. 28 DSGVO auferlegt werden sollen, wie beispielsweise die Unterstützung bei der Erfüllung der Datenschutzrechte betroffener Personen und die Gewährleistung der Sicherheit der Datenverarbeitung.

Verarbeitung zu Trainingszwecken und Datensicherheit

In diesem Zuge verpflichtet sich OpenAI auch, die Interaktionen in ChatGPT nicht zu Trainingszwecken zu nutzen. Dies wird durch spezifische Konfigurationen und Mechanismen sichergestellt, die verhindern, dass die übermittelten Daten in den Trainingsprozess einfließen.

Zusätzlich werden in diesen Editionen von ChatGPT fortgeschrittenere technische und organisatorische Maßnahmen eingesetzt, wie Datenverschlüsselung in Transit und bei der Speicherung.

Eine SOC-2-Zertifizierung besteht ebenfalls. SOC 2 ist ein Sicherheitsstandard, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde und sich auf die Gewährleistung von Sicherheit, Verfügbarkeit und Vertraulichkeit bei Unternehmen konzentriert. Während SOC-2-Zertifizierungen in den Vereinigten Staaten weit verbreitet sind, sind in Europa ISO-Zertifizierungen (vor allem: ISO 27001) häufiger anzutreffen und genießen eine größere Anerkennung.

Es ist wichtig zu beachten, dass derartige Zertifizierungen Sicherheitsmaßnahmen zwar bestätigen können, jedoch nicht unbedingt die alleinige Grundlage für Vertrauen sein sollten. Auch ohne diese Zertifizierungen sollte OpenAI angemessene Sicherheitsmaßnahmen implementieren, um den Datenschutzanforderungen der Nutzer gerecht zu werden. Europäische Unternehmen, die die Dienste von OpenAI nutzen möchten, sollten daher eine unabhängige Prüfung der technischen und organisatorischen Maßnahmen (TOM) von OpenAI nicht vernachlässigen.

Datenschutzrechtliche Einschätzung zu ChatGPT API und Enterprise Edition

Unter Berücksichtigung dieser Aspekte wäre die Nutzung der API- und Enterprise-Editionen von ChatGPT mit personenbezogenen Daten grundsätzlich möglich, vorausgesetzt, der Datenschutzbeauftragte des Unternehmens hat den Auftragsverarbeitungsvertrag von OpenAI samt den technischen und organisatorischen Maßnahmen auf Datenschutzkonformität geprüft und für ausreichend im Hinblick auf die beabsichtigte Verarbeitung befunden.

Dennoch ist es wichtig, dass das Unternehmen auch bei der Verwendung dieser ChatGPT-Versionen angemessene Vorkehrungen trifft. Dazu gehört beispielsweise die Implementierung einer KI-Richtlinie, die den Mitarbeitern klare Anweisungen zur sicheren Nutzung von ChatGPT gibt, einschließlich der Vermeidung der Offenlegung besonderer Kategorien personenbezogener Daten oder sensiblen Geschäftsgeheimnissen während der Interaktionen.

Problematik Drittlandtransfer beim Einsatz von ChatGPT

Da OpenAI ein US-amerikanisches Unternehmen mit Sitz in Kalifornien ist, müssen sich Unternehmen, die OpenAI einsetzen möchten, Gedanken bezüglich des entstehenden Drittlandtransfers machen. Für den Transfer personenbezogener Daten in die USA und andere Drittstaaten muss im Empfängerland tatsächlich (und nicht nur auf dem Papier) ein entsprechendes Datenschutzniveau vorliegen.

Da OpenAI nicht nach dem EU-U.S. Data Privacy Framework zertifiziert ist, ist das US-Unternehmen gezwungen, alternative Methoden zu nutzen, um ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in die USA sicherzustellen. OpenAI stützt sich auf die Standardvertragsklauseln, die von der Europäischen Kommission als geeignete Mechanismen für den Datentransfer außerhalb des Europäischen Wirtschaftsraum (EWR) anerkannt wurden.

Es ist jedoch kritisch zu betrachten, dass trotzdem das Risiko von Datentransfers in Drittländer und möglichen Datenschutzverstößen weiterhin besteht. Deshalb sollten Unternehmen gründlich evaluieren, ob der Einsatz von OpenAI-Diensten unter Berücksichtigung der Datenschutzanforderungen und rechtlichen Rahmenbedingungen gerechtfertigt ist. Zusätzliche Schutzmaßnahmen könnten erforderlich sein, um den Datenschutz und die Einhaltung der gesetzlichen Vorgaben zu gewährleisten.

Um dem entgegenzuwirken, hat OpenAI angekündigt, dass Nutzer, die ihren Wohnsitz im EWR oder in der Schweiz haben, eine Vertragsbeziehung mit OpenAI Ireland Ltd. eingehen – und nicht mit dem Mutterkonzern in Kalifornien. Trotz dieser Änderung auf Ebene der Vertragsgestaltung bleibt die Herausforderung des Datentransfers in Drittländer bestehen. Ein europäischer Vertragspartner schützt nicht zwingend vor unrechtmäßigen Verarbeitungen durch US-Behörden.

Fazit: ChatGPT-Nutzung durch Unternehmen ist eingeschränkt möglich

Unternehmen können (und sollten) die Potenziale von KI-Technologien wie ChatGPT nutzen, um ihre Prozesse zu optimieren. Datenschutz sollte hierbei nicht als Hindernis angesehen werden, sondern als integraler Bestandteil, der von Anfang an berücksichtigt werden muss.

Es gibt verschiedene Möglichkeiten, KI-Technologien datenschutzfreundlich in Unternehmensprozesse zu integrieren. Die frühzeitige Einbindung des Datenschutzbeauftragten ist dafür entscheidend. Er kann beraten, welche Maßnahmen erforderlich sind, um Datenschutzrisiken zu minimieren und sicherzustellen, dass KI-Projekte im Einklang mit den geltenden Datenschutzbestimmungen umgesetzt werden.